Уязвимость Cross-Site-Authentication (XSA) в Enigmail

1

4

В Enigmail ― расширении безопасности для Mozilla Thunderbird, позволяющем использовать OpenPGP для работы с шифрованием и электронной подписью сообщений электронной почты — обнаружена проблема с безопасностью, которая потенциально может быть вектором для фишинговых атак.

Проблема заключается в некорректной работе с Web Key Directory (WKD), через запросы к которому можно получить ключи OpenPGP по веб-адресу вида:

https://example.org/.well-known/./openpgpkey/hu/[zbase32_sha1_hash_of_local_part]

Enigmail автоматически запрашивает ключи из WKD уже в момент написания письма, поэтому если написать нужный URL вместо адреса электронной почты адресата, то будет вызван HTTPS-запрос. После ответа сервера с кодом HTTP 401 — Enigmail/Thunderbird откроет окно входа (см. видео) c предложением ввести логин и пароль текущего пользователя.

Уязвимость была привнесена начиная с версии 2.0.7. Исправление будет включено в следующую стабильную версию 2.1 (на данный момент последняя стабильная версия — 2.0.8 от августа текущего года).

>>> Видео

>>> Подробности

Ссылка

←	Релиз WordPress 5.0

FSF добавил Hyperbola GNU/Linux-libre в список одобренных дистрибутивов

→

← 1 2 3 4 →

Ответ на: комментарий от aureliano15 16.12.18 04:35:31 MSK

Большинство депрессивных молодых людей, ищущих «смысла в жизни», на самом деле просто страдают от безделья.

Но я то тебе не об этом толкую, а о настоящей депрессии, как у твоего отца была. И безделье тут вообще никаким боком. А уж принуждая такого человека трудиться и вообще, проявляя к нему какое либо насилие, ты лишь усугубишь его состояние.

anonymous
(17.12.18 06:11:25 MSK)

Ответ на: комментарий от aureliano15 17.12.18 04:05:13 MSK

Но через 10 — 15 лет уже не мог заниматься той же работой, которой занимались они.

Это скорее связано с тем, что он все эти годы не развивался, не приобретал новые навыки, которые востребованы в его области. Это всё равно что программист, который всю свою жизнь писал на каком нибудь FoxPro и даже не пытавшийся за это время изучать что то новое, окажется на улице, когда его организация откажется от устаревших технологий в пользу чего нибудь более современного. Никакого отношения к деградации это не имеет, этот человек виртуозно владеет тем инструментом, с которым работал. Проблема лишь в том, что этот навык больше не востребован.

anonymous
(17.12.18 06:20:10 MSK)

Ссылка

Ответ на: комментарий от aureliano15 17.12.18 04:05:13 MSK

технарь не может писать безграмотно. это не технарь, а лох какой-то. и умение ясно излагать свои мысли - главный навык технарей. это гуманитарии развесистую клюкву вечно городят. а технарь выражает мысль кратко и чётко.

а насчёт отупения отдельных особей я уже писала выше: это личный выбор человека - тупеть. такой индивид ссзб.

Iron_Bug ★★★★★
(17.12.18 08:57:58 MSK)

Ответ на: комментарий от anonymous 17.12.18 06:11:25 MSK

Большинство депрессивных молодых людей, ищущих «смысла в жизни», на самом деле просто страдают от безделья.
Но я то тебе не об этом толкую, а о настоящей депрессии

Так я и не спорю, что такое тоже бывает, но намного реже.

Например, некоторое время назад (не очень давно) проанализировали статистику самоубийств в Европе с 18 века и выяснили, что на пик популярности книжки Гёте «Страдания юного Вертера» (конец 18 века) пришёлся пик самоубийств молодых людей из обеспеченных семей. Вот что это: депрессия или подростковая дурость? А их сверстникам из крестьянских семей, работавшим с 14 лет от зари до зари, а до 14 тоже работавшим, только чуть поменьше, такое даже в голову не приходило.

И безделье тут вообще никаким боком. А уж принуждая такого человека трудиться и вообще, проявляя к нему какое либо насилие

А почему трудиться — это насилие? Когда-то человек, который не трудился, погибал. А сейчас можно не трудиться и относительно неплохо жить. Ну без ананасов с шампанским, конечно, но про людей, к своим 30 годам ни разу не работавших, а только игравших и продолжающих играть в компьютерные игрушки и живущих на пенсию родителей, лично слышал от знакомых.

Но через 10 — 15 лет уже не мог заниматься той же работой, которой занимались они.
Это скорее связано с тем, что он все эти годы не развивался, не приобретал новые навыки, которые востребованы в его области. [skip] Проблема лишь в том, что этот навык больше не востребован.

Полностью согласен, и именно об этом и говорю.

aureliano15 ★★
(18.12.18 01:05:46 MSK)

Ответ на: комментарий от Iron_Bug 17.12.18 08:57:58 MSK

а насчёт отупения отдельных особей я уже писала выше: это личный выбор человека - тупеть. такой индивид ссзб.

Если ты согласна, что человек может со временем отупеть, то и спорить не о чем, ведь тупеет он именно потому, что не напрягает мозги, а значит твоё утверждение о том, что

интеллект [skip] зависит только от образования

как минимум неточно. Интеллект недостаточно развить, его ещё постоянно надо в этом состоянии поддерживать. А чтоб его поддерживать, надо заниматься какой-то интеллектуальной работой.

aureliano15 ★★
(18.12.18 01:10:43 MSK)

Ответ на: комментарий от aureliano15 18.12.18 01:05:46 MSK

А почему трудиться — это насилие?

Трудиться по принуждению, без возможности в любой момент покинуть подобное учреждение - это насилие.

Полностью согласен, и именно об этом и говорю.

То есть ты согласен, что когнитивные способности не утрачиваются от того, что человек занимается чем то, что не требует применения этих способностей.

eternal_sorrow ★★★★★
(18.12.18 01:13:21 MSK)

Ответ на: комментарий от eternal_sorrow 18.12.18 01:13:21 MSK

А почему трудиться — это насилие?
Трудиться по принуждению, без возможности в любой момент покинуть подобное учреждение - это насилие.

А. Ну про ЛТП — это была гипербола. На самом деле я не считаю, что там кого-то лечили. Обыкновенная зона для алкоголиков, разве что без судимости по освобождении.

То есть ты согласен, что когнитивные способности не утрачиваются от того, что человек занимается чем то, что не требует применения этих способностей.

Нет. Вот с этим я как раз не согласен. Если какие-то навыки и способности не задействуются, то со временем они утрачиваются. Поговорка «хорошие мозги не пропьёшь» не верна.

aureliano15 ★★
(18.12.18 01:36:49 MSK)

Ссылка

Ответ на: комментарий от aureliano15 18.12.18 01:10:43 MSK

моё определение достаточно точно. интеллект изначально развивается в возрасте от 3 до примерно 11 лет. пока растёт мозг. некоторые учёные полагают, что до 20. дальше человек в основном формирует связи между уже существующими нейронами. если человек не использует мозг, новые связи не формируются, а старые со временем разрушаются. но если в детстве потенциал не заложен - развивать просто нечего. поэтому образование даёт основу для развития интеллекта. собственно, другого способа развития интеллекта и нет. интеллект не передаётся по наследству. наследственность может влиять на некоторые параметры мозга. но конечный результат всегда зависит от образования. без образования человек просто лысая обезьяна.

а отупение - вещь относительная. для кого-то и тупеть особо некуда. чтобы что-то потерять, надо сначала это иметь.

Iron_Bug ★★★★★
(18.12.18 04:44:14 MSK)
Последнее исправление: Iron_Bug 18.12.18 04:45:11 MSK (всего исправлений: 1)

Ответ на: комментарий от Iron_Bug 18.12.18 04:44:14 MSK

если человек не использует мозг, новые связи не формируются, а старые со временем разрушаются. но если в детстве потенциал не заложен - развивать просто нечего. поэтому образование даёт основу для развития интеллекта.

С этим полностью согласен.

отупение - вещь относительная. для кого-то и тупеть особо некуда

Думаю, что и для таких не всё потеряно. Как писал Ежи Лец, «Когда я думал, что достиг дна, снизу постучали». :-)

aureliano15 ★★
(18.12.18 19:10:50 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 3 4 →

←	Релиз WordPress 5.0

Open Source

FSF добавил Hyperbola GNU/Linux-libre в список одобренных дистрибутивов

→

Похожие темы